本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Systems Manager 理員的 Security Hub 控制項
這些 AWS Security Hub 控制項:評估 AWS Systems Manager (SSM)服務和資源。
這些控制項可能不適用於所有 AWS 區域。 如需詳細資訊,請參閱各區域控制項的可用性。
[SSM.1] Amazon EC2 實例應由 AWS Systems Manager
相關要求:PCIDSS一、 NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(1), NIST.800-53.r5 CM-8(2), NIST.800-53.r5 CM-8(3), NIST.800-53.r5 SA-1五 (二)、 NIST.800-53.r5 SA-1五 (八) NIST.800-53.r5 SA-3、NIST
類別:識別 > 清查
嚴重性:中
評估的資源:AWS::EC2::Instance
必填 AWS Config 錄製資源:AWS::EC2::InstanceAWS::SSM::ManagedInstanceInventory
AWS Config 規則:ec2-instance-managed-by-systems-manager
排程類型:已觸發變更
參數:無
此控制項會檢查帳戶中已停止和EC2執行中的執行個體是否由管理 AWS Systems Manager。 Systems Manager 是 AWS 服務 您可以使用它來查看和控制您的 AWS 基礎設施。
為了協助您維護安全性與合規性,Systems Manager 會掃描已停止和執行中的代管執行個體。代管執行個體是設定為搭配 Systems Manager 使用的機器。然後,Systems Manager 會針對偵測到的任何原則違規,報告或採取更正動作。Systems Manager 也可協助您設定和維護您的代管執行個體。
如需進一步了解,請參閱 AWS Systems Manager 使用者指南。
修補
若要使用系統管理員管理EC2執行個體,請參閱 EC2 AWS Systems Manager 使用者指南。在「組態選項」區段中,您可以保留預設選擇,或視需要變更偏好的組態。
[SSM.2] 由系統管理員管理的 Amazon EC2 執行個體在安裝修補程式COMPLIANT後,修補程式合規狀態應為
相關需求:八 (3)、.800-53.r5 (3)、NIST .800-53.r5 SI-2 (4)、NIST .800-53.R5 PCI DSS 四二 (2)、.800-53.R5 三 (3)、NIST .800-53.r5 SI-2 (4) NIST NIST NIST
類別:偵測 > 偵測服務
嚴重性:高
資源類型:AWS::SSM::PatchCompliance
AWS Config 規則:ec2-managedinstance-patch-compliance-status-check
排程類型:已觸發變更
參數:無
此控制項會檢查 Systems Manager 修補程式符合性的符合性狀態,COMPLIANT或是在執行個體上安裝修補程式NON_COMPLIANT之後。如果符合性狀態為,則控制項會失敗NON_COMPLIANT。控制項只會檢查由系統管理員修補程式管理員所管理的執行個體。
根據組織的要求修補EC2執行個體,可減少您的攻擊面 AWS 帳戶.
修補
Systems Manager 建議您使用修補程式原則來設定受管理執行個體的修補 您也可以使用 Systems Manager 文件 (如下列程序所述) 來修補執行個體。
修補不相容的修補程式
打開 AWS Systems Manager 控制台位於https://console.aws.amazon.com/systems-manager/
。 -
在 [節點管理] 中,選擇 [執行命令],然後選擇 [執行命令]。
-
選擇以下選項 AWS-RunPatchBaseline.
-
將 Operation (操作) 變更為 Install (安裝)。
-
選擇「手動選擇執行個體」,然後選擇不相容的執行個體。
-
選擇執行。
-
命令完成後,若要監視已修補執行個體的新符合性狀態,請在導覽窗格中選擇 [規範遵循]。
[SSM.3] 由系統管理器管理的 Amazon EC2 執行個體應具有的關聯合規性狀態為 COMPLIANT
相關需求:(1)、.800-53.R5 PCI DSS 公分 NIST.800-53.r5 CA-9 (1)、五分之五公分 (1)、NIST .800-53.r5 公分 (1)、NIST .800-53.R5 (1)、.800-53.r5 公分 (1)、NIST .800-53.r5 公分 (3) NIST NIST NIST
類別:偵測 > 偵測服務
嚴重性:低
資源類型:AWS::SSM::AssociationCompliance
AWS Config 規則:ec2-managedinstance-association-compliance-status-check
排程類型:已觸發變更
參數:無
此控制項檢查是否狀態 AWS Systems Manager 關聯符合性COMPLIANT是NON_COMPLIANT在執行個體上執行關聯之後或之後。如果關聯符合性狀態為,則控制項會失敗NON_COMPLIANT。
狀態管理器關聯是指派給您的代管執行個體的組態。該組態會定義您想在執行個體上維持的狀態。例如,關聯可以指定必須在執行個體上安裝並執行防毒軟體,或者必須關閉特定連接埠。
建立一或多個 State Manager 關聯之後,規範遵循狀態資訊即可供您使用。您可以在主控台中檢視符合性狀態,或回應 AWS CLI 指令或對應的 Systems Manager API 動作。對於關聯,「組態符合性」會顯示符合性狀態 (Compliant或Non-compliant)。它也會顯示指派給關聯的嚴重性層級,例如Critical或Medium。
若要深入瞭解州政府管理員關聯規範遵循,請參閱中的關於國家管理員關聯規範 AWS Systems Manager 使用者指南。
修補
失敗的關聯可能與不同的項目有關,包括目標和 Systems Manager 文件名稱。若要修正此問題,您必須先透過檢視關聯歷史記錄來識別並調查關聯。如需有關檢視關聯歷史記錄的指示,請參閱檢視中的關聯歷史記錄 AWS Systems Manager 使用者指南。
調查之後,您可以編輯關聯以更正識別的問題。您可以編輯關聯來指定新的名稱、排程、嚴重性層級或目標。編輯關聯之後, AWS Systems Manager 會建立新版本。如需有關編輯關聯的指示,請參閱編輯和建立新版本的關聯 AWS Systems Manager 使用者指南。
[SSM.4] SSM 文件不應公開
相關要求: NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6,, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (十一), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)
分類:保護 > 安全網路設定 > 不可公開存取的資源
嚴重性:嚴重
資源類型:AWS::SSM::Document
AWS Config 規則:ssm-document-not-public
排程類型:定期
參數:無
此控制項檢查是否 AWS Systems Manager 該帳戶擁有的文件是公開的。如果 Systems Manager 文件與擁有者Self是公開的,則此控制項會失敗。
公開的 Systems Manager 文件可能會允許意外存取您的文件。公開的 Systems Manager 文件可能會公開有關您的帳戶、資源和內部程序的重要資訊。
除非您的使用案例需要公開共用,否則我們建議您針對擁有的 Systems Manager 文件封鎖公開共用設定Self。
修補
若要封鎖「Systems Manager」文件的公用共用,請參閱「封鎖」中SSM文件的公用共用 AWS Systems Manager 使用者指南。
